Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

il provvedimento

Se il Garante sanziona chi insegna il GDPR: il caso Lepida e il valore della privacy by design

Home News, attualità e analisi Cyber sicurezza e privacy
Partecipa al dibattito
Indirizzo copiato

Il Garante privacy ha sanzionato Lepida S.c.p.A., uno dei principali gestori SPID, per gravi violazioni di principi cardine del GDPR, tra cui privacy by design e by default, minimizzazione, limitazione della conservazione e sicurezza del trattamento. Con un provvedimento che va oltre la sanzione. Ecco perché

Pubblicato il 26 giu 2026
Aggiungi tra i preferiti su Google
Tania Orrù

Data Protection, Compliance & Digital Governance Advisor

Lepida sanzione privacy
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

A seguito di un’articolata attività ispettiva, il Garante privacy ha accertato numerose violazioni del GDPR nella configurazione del servizio LepidaID (servizio di identità digitale SPID erogato da Lepida S.c.p.A., utilizzato per l’autenticazione ai servizi digitali della pubblica amministrazione e dei soggetti privati aderenti al sistema SPID), contestando in particolare un modello di gestione degli accessi ritenuto eccessivamente permissivo, l’assenza di adeguate misure di privacy by design e privacy by default, modalità non conformi di conservazione dei documenti e dei log, controlli insufficientemente automatizzati sulle banche dati autoritative e criticità nelle informazioni rese agli interessati.

Le contestazioni hanno portato all’irrogazione di una sanzione amministrativa di 100.000 euro, pur in presenza di un quadro fattuale che coinvolgeva oltre 1,5 milioni di identità digitali e circa 7.000 operatori abilitati.

Al di là dell’importo della sanzione, il provvedimento assume particolare rilievo perché afferma con forza che la conformità al GDPR non può essere affidata esclusivamente a procedure organizzative o istruzioni agli operatori, poiché deve essere necessariamente incorporata nella progettazione tecnica dei sistemi fin dalla loro origine.

Ma pone, al tempo stesso, un interrogativo sul ruolo che il potere sanzionatorio è chiamato a svolgere nel dare concreta attuazione ai principi del GDPR.

Caso Lepida: un provvedimento che va oltre la sanzione

Chi si limitasse a leggere il dispositivo finale potrebbe concludere che si tratti dell’ennesima sanzione GDPR: 100.000 euro inflitti a Lepida S.c.p.A., Identity Provider SPID accreditato AgID e società in house della Regione Emilia-Romagna. Una sanzione che non fa sensazione.

In realtà il Garante dedica molte pagine a ricostruire le modalità di progettazione del sistema LepidaID e individua una serie di criticità che riguardano direttamente alcuni dei principi cardine del GDPR: minimizzazione dei dati, privacy by design, privacy by default, sicurezza del trattamento e limitazione della conservazione.

Completano il quadro alcune criticità relative alla trasparenza delle informazioni rese agli interessati, con particolare riferimento all’errata qualificazione della titolarità del trattamento per le identità digitali provenienti dal sistema FedERa (successivamente corretta da Lepida nel corso del procedimento).

Tuttavia, l’aspetto che rende questa decisione particolarmente significativa è il fatto che Lepida non sia un operatore qualsiasi.

Da anni rappresenta infatti uno dei principali interlocutori istituzionali sui temi della trasformazione digitale della pubblica amministrazione, organizza eventi dedicati alla protezione dei dati personali, promuove attività formative rivolte ai DPO e agli enti pubblici e collabora stabilmente con lo stesso Garante nella diffusione della cultura della privacy.

Questa circostanza rende il provvedimento quasi paradossale e, per questo, destinato a far discutere.

Le violazioni contestate colpiscono perché ad essere stati disattesi e violati sono principi che costituiscono il fondamento della progettazione sicura dei sistemi informativi.

Il Garante privacy contesta la progettazione del sistema

Il provvedimento ricostruisce i casi di accesso abusivo emersi durante le attività di audit. Uno di essi riguarda un operatore che avrebbe consultato i documenti di identità di 258 cittadini “per mera curiosità”; altri riguardano consultazioni effettuate per finalità estranee alla gestione delle identità digitali.

Il Garante sceglie però di spostare il baricentro della propria analisi, andando oltre il fatto che alcuni operatori hanno abusato dei propri privilegi, e si focalizza invece sul sistema, progettato in modo tale da rendere possibili quegli abusi. I rilievi dell’Autorità si concentrano dunque “a monte”, sull’architettura del sistema, piuttosto che sul comportamento del singolo operatore.

In altre parole, il Garante intende affermare che la sicurezza deve essere incorporata nell’architettura stessa del software e non può essere affidata esclusivamente alla correttezza degli operatori.

Oltre 7.000 operatori con accesso ai dati di oltre 1,5 milioni di utenti

Il primo rilievo riguarda il modello autorizzativo adottato da Lepida.

Secondo quanto ricostruito nel provvedimento, oltre 7.000 operatori distribuiti presso circa 1.800 sportelli LepidaID potevano consultare informazioni personali riferite a qualunque titolare di identità digitale LepidaID.

Gli operatori potevano infatti visualizzare dati anagrafici; consultare le informazioni sulle autenticazioni effettuate dagli utenti; scaricare copie dei documenti di identità e delle tessere sanitarie; gestire pratiche relative a utenti attivati presso altri sportelli.

Dal punto di vista tecnico il Garante individua un problema tipico di qualunque sistema IAM (Identity and Access Management), cioè l’assenza di un’effettiva segregazione dei privilegi.

L’accesso risultava infatti molto più esteso rispetto a quanto necessario per svolgere le attività di identificazione o di assistenza: una sostanziale negazione del principio del least privilege, vale a dire di uno dei capisaldi dell’odierna cyber security.

Privacy by design significa progettare sistemi che impediscano l’errore

Uno degli aspetti più rilevanti riguarda inoltre la gestione dei documenti.

Per visualizzare una carta d’identità o una tessera sanitaria l’operatore doveva scaricare il file, in locale, sulla propria postazione e successivamente avrebbe dovuto ricordarsi di cancellarlo manualmente. Lepida aveva, a questo proposito, impartito precise istruzioni operative in questo senso.

Tuttavia, il Garante ribadisce che affidare la sicurezza esclusivamente alla diligenza dell’operatore significa trasferire il rischio organizzativo sulla componente umana. Secondo l’Autorità, un sistema progettato secondo i principi di privacy by design avrebbe potuto consentire la semplice visualizzazione del documento ad esempio attraverso un viewer, evitando il download, oppure introdurre meccanismi tecnici che rendessero effettiva la cancellazione delle copie in automatico.

Il Garante intende riaffermare dunque che il GDPR deve essere interpretato come un vero criterio di progettazione del software, e non come un insieme di meri obblighi documentali.

Anche i controlli devono essere progettati

Un’altra contestazione riguarda le verifiche effettuate durante il rilascio dell’identità digitale, cioè il fatto che molti controlli venivano eseguiti manualmente dagli operatori interrogando diversi servizi esterni.

Per il Garante, un sistema utilizzato da migliaia di operatori distribuiti sul territorio nazionale avrebbe dovuto ridurre il più possibile la discrezionalità umana attraverso controlli automatizzati sulle banche dati autoritative.

La sicurezza consiste infatti anche nella riduzione delle possibilità di errore umano, non soltanto nell’adozione di misure crittografiche o nella protezione tecnica delle infrastrutture.

I log non possono essere conservati oltre quanto necessario

Il provvedimento affronta poi il tema della conservazione delle tracciature SPID.

Lepida conservava le informazioni relative alle autenticazioni per un periodo superiore ai ventiquattro mesi previsti dalla disciplina di settore; la difesa della società sosteneva che il termine rappresentava una soglia minima.

Il Garante fornisce invece un’interpretazione molto rigorosa, precisando che il riferimento agli “ultimi ventiquattro mesi” individua in realtà un limite massimo e non una durata minima liberamente estensibile, fornendo una precisazione destinata molto probabilmente ad avere effetti anche su altri Identity Provider.

Una decisione che parla soprattutto di cyber security

Sotto molti aspetti questo provvedimento sembra appartenere più al mondo della cyber security che a quello tradizionale della privacy.

Il Garante parla di progettazione sicura; segregazione dei privilegi; minimizzazione degli accessi; riduzione della superficie di esposizione; controlli automatizzati; prevenzione degli errori umani.

Conferma dunque gli stessi principi che oggi caratterizzano architetture Zero Trust, sistemi PAM (Privileged Access Management) e moderne piattaforme IAM.

E, con questo, richiama l’attenzione sul fatto che la conformità al GDPR si costruisce, oltre che con procedure, informative e istruzioni operative, soprattutto progettando sistemi che impediscano, per impostazione predefinita, trattamenti non necessari.

Il caso Lepida e la coerenza della politica sanzionatoria del Garante

Il Garante dedica infine alcune pagine alla determinazione della sanzione.

Pur qualificando come elevate la gravità delle violazioni e ricordando che il trattamento riguardava oltre un milione e mezzo di cittadini, conclude con una sanzione amministrativa di 100.000 euro. Una cifra che appare contenuta, soprattutto se confrontata con altri recenti provvedimenti adottati dall’Autorità in presenza di violazioni ritenute gravi.

Le ragioni di questa scelta sono comunque spiegate all’interno dello stesso provvedimento, che valorizza, tra gli elementi attenuanti, la piena collaborazione della società durante l’istruttoria, l’immediata adozione delle misure correttive, l’assenza di precedenti e perfino l’attività svolta da Lepida nella promozione della cultura della protezione dei dati personali.

Il Garante richiama addirittura espressamente l’organizzazione di eventi pubblici di formazione e confronto con la stessa Autorità e con i Responsabili della protezione dei dati. Pur trattandosi di una motivazione certamente legittima, prevista dall’art. 83 GDPR e dal Codice Privacy, tale scelta potrebbe essere destinata ad alimentare il dibattito tra gli operatori del settore.

Quando anche i “maestri” della privacy dimenticano i fondamentali

Al di là delle singole violazioni, ciò che maggiormente colpisce leggendo questo provvedimento è però che, a dieci anni dall’entrata in vigore del GDPR, sorprende che il Garante si trovi ancora a dover richiamare principi che dovrebbero ormai costituire il patrimonio comune di chiunque progetti sistemi informativi destinati a trattare dati personali: minimizzazione, privacy by design, privacy by default, segregazione dei privilegi, limitazione della conservazione.

Nel provvedimento non si rintracciano in effetti interpretazioni innovative o pronunce particolari su questioni ancora controverse nella prassi applicativa, bensì esclusivamente l’enunciazione di principi che da anni rappresentano il fondamento della disciplina europea della protezione dei dati e delle buone pratiche di security engineering.

La vicenda assume poi contorni ancora più singolari se si considera il soggetto destinatario del provvedimento.

Lepida non è un operatore improvvisato né un’organizzazione estranea al mondo della protezione dei dati. Al contrario, è una realtà che da anni rappresenta un punto di riferimento nazionale nei processi di digitalizzazione della pubblica amministrazione e nella diffusione della cultura della protezione dei dati personali.

Proprio per questo motivo, è difficile non rimanere sorpresi nel leggere contestazioni che riguardano alcuni dei principi più basilari del GDPR e che investono direttamente l’architettura di un sistema destinato a gestire oltre un milione e mezzo di identità digitali.

Quanto pesa la privacy by design nella determinazione delle sanzioni?

La sanzione di 100.000 euro rischia, in questo frangente, quasi di assumere un valore più simbolico che realmente afflittivo.

È vero, il Garante motiva puntualmente la propria decisione richiamando le varie “attenuanti” già citate, circostanze il GDPR consente legittimamente di valorizzare nella determinazione della sanzione.

È però difficile anche negare che il passaggio (particolarmente articolato) del provvedimento dedicato al ruolo della società nella promozione della cultura della protezione dei dati personali, fino a richiamare espressamente gli eventi organizzati insieme all’Autorità, risulti alquanto insolito.

L’articolo 83 GDPR e la difficile ricerca dell’equilibrio sanzionatorio

Il provvedimento nei confronti di Lepida offre l’occasione per una riflessione più ampia sull’art. 83 del GDPR e sul modo in cui il Garante italiano sta progressivamente costruendo la propria politica sanzionatoria.

L’art. 83 GDPR attribuisce all’Autorità un esercizio particolarmente delicato del proprio potere discrezionale. Ogni provvedimento contribuisce inevitabilmente a delineare una politica sanzionatoria che, oltre a reprimere il singolo illecito, orienta le future scelte organizzative e progettuali dei titolari del trattamento.

Alle Autorità è dunque affidato il compito di calibrare caso per caso una risposta che sia, al tempo stesso, effettiva, proporzionata e dissuasiva. Tre requisiti che non sempre convivono agevolmente e che impongono un delicato bilanciamento tra gravità dell’illecito, comportamento del titolare e finalità preventiva della sanzione.

Il provvedimento in esame sembra privilegiare una lettura dell’art. 83 fortemente orientata alla valorizzazione del comportamento collaborativo del titolare.

Resta tuttavia aperta una questione di carattere sistematico: se il GDPR individua nella privacy by design e nella privacy by default il principale strumento attraverso cui prevenire le violazioni dei diritti e delle libertà degli interessati, è lecito chiedersi quale peso debba assumere, nella concreta determinazione della sanzione, la violazione proprio di tali principi.

Oltre il quantum: quale messaggio al mercato?

Nel caso Lepida viene censurata la progettazione di un sistema che, secondo il Garante, risultava strutturalmente non conforme ai principi fondamentali del Regolamento. Oltre al quantum della sanzione, a contare qui è il messaggio regolatorio che la sanzione stessa trasmette al mercato.

Ogni provvedimento del Garante, oltre al produrre effetti sul destinatario della sanzione, contribuisce a orientare le future scelte progettuali di tutti i titolari del trattamento. È questa la vera funzione sistemica dell’art. 83 GDPR.

Resta dunque una riflessione inevitabile (e un po’ amara): quando un provvedimento accerta criticità così profonde nella progettazione di un sistema che gestisce l’identità digitale di oltre un milione e mezzo di cittadini (con violazioni che la stessa Autorità qualifica come di elevata gravità), è difficile non chiedersi se una risposta sanzionatoria di questa entità sia realmente idonea a esprimere quella funzione effettiva, proporzionata e dissuasiva che lo stesso articolo 83 del GDPR assegna alle sanzioni amministrative che prevede.

In altre parole: se anche la violazione dei principi che costituiscono l’architrave del GDPR conduce, in presenza di adeguate circostanze attenuanti, a una risposta sostanzialmente contenuta, il punto di equilibrio tra proporzionalità e deterrenza e, più in generale, il ruolo che il potere sanzionatorio è chiamato a svolgere nel promuovere una reale cultura della compliance by design, rischia di risultare meno nitido. E di perdere parte della propria forza orientativa nei confronti dell’intero mercato.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

O
Tania Orrù
Data Protection, Compliance & Digital Governance Advisor

Leggi anche:

Partecipa alla community

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • attacco a Sistemi Informativi

  • privacy e libertà

    La nuova identità digitale in Cina: una svolta radicale nella sorveglianza

    11 Lug 2025

    di Luisa Franchina e Tommaso Diddi

    Condividi
  • Cyber security in Italia 2025

  • il rapporto

    Cyber security, com'è messa l'italia nel 2025: la risposta nei dati Anitec Assinform

    02 Lug 2025

    di Paolo Tarsitano

    Condividi
  • Come mettere in sicurezza gli agenti AI e prevenire le micro-azioni tipiche delle minacce che li attanagliano; AI agentiche nella cyber security e nell’area della cognizione umana: vediamo se siamo preparati

  • l'indagine

    AI agentiche nella cyber e nell’area della cognizione umana: vediamo se siamo preparati

    21 Mag 2026

    di Alessia Valentini

    Condividi
  • La capacità di calcolo dei computer quantistici può mettere in crisi la robustezza degli algoritmi di cittografia attuali. E il Q-Day è sempre più vicino

  • vantaggi strategici

    Per Google il Q-Day arriverà nel 2029

    31 Mar 2026

    di Giuditta Mosca

    Condividi
0
Lascia un commento, la tua opinione conta.x